Cómo comprobar rápidamente si su servidor Linux está bajo un ataque DoS desde una única dirección IP

Escrito por el en Articles

Linux: Cómo comprobar rápidamente si tu servidor está bajo un ataque DoS desde una única dirección IP

Si tienes servidores Linux en tu centro de datos o están alojados en un servidor en la nube (como AWS, Google Cloud o Azure), no puedes asumir, simplemente por el sistema operativo que has desplegado, que son seguros. Aunque Linux es uno de los sistemas operativos más seguros del mercado, no es perfecto. De hecho, se ha producido un aumento de los ataques a la plataforma, que continuará la tendencia al alza a medida que Linux gane aún más popularidad.

¿Qué haces?

Cuando sospechas que uno de tus servidores puede estar bajo ataque, tienes que comprobarlo. ¿Pero cómo? En este artículo voy a mostrarte algunos comandos que pueden ayudarte a discernir si tu servidor está siendo afectado por un ataque de denegación de servicio (DoS), que proviene de una única dirección IP y que intenta paralizar un sitio web para que su servidor quede inaccesible. Hay otra forma de este ataque, la denegación de servicio distribuida (DDoS), que proviene de múltiples fuentes.

Averigüemos cómo saber si su servidor Linux es objetivo de un ataque DoS.

SEE: Política de protección contra el robo de identidad (TechRepublic Premium)

Lo que necesitarás

Lo único que necesitarás para esto es una instancia de Linux y un usuario con privilegios sudo. Estaré demostrando en Ubuntu Server 20.04.

Cómo instalar netstat

Vamos a utilizar la herramienta netstat para averiguar qué direcciones IP están actualmente conectadas a su servidor. Para instalar netstat en Ubuntu, en realidad se instala net-tools, así: 

 sudo apt-get install net-tools -y

Si estás usando CentOS o una instalación basada en Red Hat, netstat ya debería estar instalado.

Cómo comprobar la carga de tu servidor

Lo primero que vamos a hacer es comprobar la carga de nuestro servidor. El comando que utilizaremos para ello nos devolverá el número de procesadores lógicos (hilos). En un servidor, este número debería ser bastante bajo, pero depende de lo que se esté ejecutando. Debe asegurarse de ejecutar una línea de base para este número, cuando sepa que todo está bien. Si sospecha que algo está pasando, ejecute la comprobación de hilos de nuevo y compárelo.

Para comprobar el número de procesadores lógicos, emita el comando: 

 grep processor /proc/cpuinfo | wc -l

Si ese número es significativamente más alto que su línea de base, usted podría tener un problema.

Por ejemplo, en mi escritorio Pop!_OS, tengo 16 hilos, pero en un servidor Ubuntu que aloja Nextcloud, sólo tengo dos. Si cualquiera de esos números se duplicara, podría estar bajo un ataque DDoS.

Cómo comprobar su carga de red

A continuación queremos comprobar nuestra carga de red. Hay varias herramientas con las que se puede hacer esto, pero yo elijo nload. Para instalar nload, emita el comando: 

 sudo apt-get install nload -y

En CentOS ese comando sería: 

 sudo dnf install nload -y

Para ejecutar la herramienta, simplemente emite el comando: 

 nload

Debería ver una carga de red entrante y saliente bastante normal (Figura A).

Figura A

ddosa.jpg

Nload está mostrando una carga entrante bastante baja en mi servidor Nextcloud.

Si esa carga es considerablemente más alta de lo que crees que debería ser, podrías estar bajo ataque.

Cómo averiguar qué direcciones IP están conectadas a tu servidor

Lo siguiente que querrás hacer es averiguar qué direcciones IP están conectadas a tu servidor. Para ello, utilizaremos netstat de la siguiente manera: 

 netstat -ntu|awk '{print }'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r

La salida del comando anterior listará cada dirección IP que está conectada al servidor y cuántas instancias de cada una. Como puede ver, tengo dos direcciones IP que se conectan a mi servidor (una tres veces) (Figura B).

Figura B

ddosb.jpg

La salida de netstat mostrando las direcciones IP conectadas a mi servidor.

Asegúrese de revisar este listado cuidadosamente. Si ves una dirección IP con un gran número de instancias (más de 100), es muy probable que esa dirección sea la culpable. Una vez que estés seguro del culpable, puedes prohibir la dirección IP con el comando 

 sudo route add ADDRESS reject

Donde DIRECCIÓN es la dirección IP del sospechoso.

En este punto, vuelve a comprobar tus hilos, las direcciones IP conectadas y las cargas de red para ver si has mitigado ese ataque DoS. Si es así, es hora de reportar la dirección IP sospechosa y probablemente prohibirla de su red por completo. La próxima vez, te guiaré a través del proceso de mitigación de un ataque DDoS.

Suscríbase a How To Make Tech Work de TechRepublic en YouTube para obtener los últimos consejos tecnológicos para profesionales de la empresa de Jack Wallen.

También vea

  • Cómo convertirse en un profesional de la ciberseguridad: Una hoja de trucos (TechRepublic)

  • Ingeniería social: Una hoja de trucos para los profesionales de las empresas (PDF gratuito) (TechRepublic)

  • Política de TI en la sombra (TechRepublic Premium)

  • Seguridad en línea 101: Consejos para proteger su privacidad de hackers y espías (ZDNet)

  • Ciberseguridad y ciberguerra: Más cobertura de lectura obligatoria (TechRepublic en Flipboard)

linuxhero2-1.jpg
Imagen:

Deja una respuesta

Tu dirección de correo electrónico no será publicada.